我需要保护我的 LDAP 服务器,但我不太确定最好的方法。我正在运行 Debian "Lenny",并使用 OpenLDAP (slapd)。
我注意到,如果我运行:
ldapsearch -x -W -b 'dc=example,dc=com' -H 'ldap://127.0.0.1:389/' 'objectclass=*'
并在提示输入密码时按 ENTER,我会得到一个目录条目列表。如果我将其向 Internet 开放,匿名访问是不可接受的,但无法找到禁用匿名访问的方法。
我尝试修改/etc/ldap/slapd.conf
为以下内容:
进入 * 由 dn="cn=admin,dc=example,dc=com" 写 由 * 无
...但这并不能解决问题。
在此之后,我将让它在 TLS 上运行,但是在仍然允许匿名访问的同时执行该步骤是没有意义的。
有任何想法吗?
如果接受的答案对您不起作用(在 Ubuntu 上对我不起作用),请尝试以下操作。
创建 ldiff 文件:
粘贴在这个:
然后运行:
要完全禁用匿名绑定,请将此行添加到 slapd.conf:
并重新启动 slapd 服务。
由于您计划很快使用 SSL/TLS,因此您可能需要考虑使用客户端证书验证来进一步加强您的安全性。带有选项的 Stunnel
-v -A
会做得很好。